Behavorial engines zijn onmisbaar in de strijd tegen ransomware en andere kwaadwillende software. Hoe werken deze gedragsscanners precies en wat maakt ze zo effectief?
Malware bezorgt bedrijven en consumenten al sinds de jaren tachtig de nodige hoofdbrekens. Beveiligingsproducten waren toen een stuk primitiever dan nu. Ze leunden op ‘signature-based scanning’, waarbij bestanden worden gescand en vervolgens vergeleken met een viruslijst.
Bij een hit verwijdert de software het bestand of wordt het in quarantaine gezet. Simpel, maar doeltreffend. Deze scanmethode bleek echter niet opgewassen tegen nieuwe, geavanceerde malwarevormen. Mede daarom kwamen zo’n tien jaar geleden de eerste behavorial engines op de markt.
Verdacht gedrag
Deze scanners richten zich niet op de bestanden of url’s zelf, maar monitoren de processen. Als een behavorial engine schadelijk ‘gedrag’ detecteert, stopt deze het verdachte proces direct. Zo zorgen deze gedragscanners, ook wel host-based intrusion systems (HIPS) genoemd, ervoor dat de schadelijke software nooit zijn einddoel bereikt.
Vandaag de dag behoren behavioral engines tot de meest effectieve beveiligingstools, ook al is veel antivirussoftware nog steeds gebaseerd op geëvolueerde vormen van de op handtekeningen gebaseerde aanpak. Even een vergelijking om het verschil te verduidelijken.
Bestanden scannen
Een gebouw heeft bewakers in dienst die de beveiligingsbeelden in de gaten houden en patrouilleren. De hele dag door willen er medewerkers naar binnen en naar buiten. De meesten dragen een id-badge en sommigen worden zelfs herkend door de beveiligers.
Deze werknemers staan op de whitelist. Bezoekers moeten wachten bij de receptie en mogen alleen onder begeleiding naar binnen met een tijdelijk id. Je kunt dit proces vergelijken met het scannen van de signature van een bestand.
Gedrag monitoren
Wat nou als er een onbekende man binnenkomt die zich niet aan de procedures houdt? Niet iedere werknemer draagt zijn id-badge, dus dit zou er een kunnen zijn. Maar de bewakers herkennen hem niet.
De onbekende persoon snelt langs de receptie en loopt achter iemand aan het hoofdgebouw in. De beveiligers hebben dit meteen door. De man wordt gevolgd op beeld en een patrouillerende bewaker krijgt de opdracht om achter hem te gaan.
Als de verdachte later een breekijzer tevoorschijn haalt en probeert in te breken in een serverruimte, grijpt de beveiliger in. De kwade intenties van de dief kwamen aan het licht door zijn gedrag te monitoren.
Processen van applicaties
Dit mechanisme helpt behavorial engines niet alleen om gevaarlijke uitvoerbare bestanden te neutraliseren. De scanners monitoren ook de processen van applicaties als browsers en tekstverwerkers. Zo beschermen ze eveneens tegen schadelijke websites, Office-macro’s en PDF-bestanden.
Malware is er in alle soorten en maten, maar het overgrote deel gebruikt dezelfde trucjes om systemen te besmetten. Een Excel-file hoort geen uitvoerbaar bestand te openen of op de harde schijf te schrijven. Gebeurt dat wel, dan weet de behavorial engine dat er iets mis is.
Het maakt dus niet uit als er een nieuwe malwarevariant verschijnt met een andere handtekening. Al die versies voeren namelijk alsnog dezelfde reeks verdachte acties uit. Kortom, als je één versie van een bepaald type malware kunt detecteren, geldt dat voor alle varianten.
Deepguard
Het huidige dreigingslandschap is bijzonder complex. En cybercrime is big business. De beste malware-ontwikkelaars zijn zeer intelligent en hebben bijna oneindige financiële middelen tot hun beschikking. Maar mede dankzij behavorial engines is het zeker geen ongelijke strijd.
Een voorbeeld daarvan is Deepguard. Recente ransomware-varianten als Teslacrypt en Locky hadden hiertegen geen schijn van kans. Deze behavorial engine wordt bovendien steeds slimmer door duizenden processen te analyseren in sandbox-omgevingen. De technologie verandert dus mee met het dreigingslandschap.
Kwetsbaarheden
Ontwikkelaars van malware blijven evenwel proberen om behavorial engines buitenspel te zetten. Zo kunnen ze een volledig nieuwe reeks acties bedenken die niet als verdacht gedrag wordt aangemerkt. Gelukkig zijn dergelijke nieuwe besmettingsmethodes vrij zeldzaam.
Er zijn ook andere trucjes. Zo moeten behavorial engines het uitvoerende deel van een proces in allerlei scripttalen kunnen monitoren. Omdat er zoveel scripttalen zijn, is dit niet altijd mogelijk. Maar gelukkig komt dit zelden voor. Daarnaast zorgt het scannen voor vertraging, wat een gebruiker kan doen besluiten om na een tijdje te stoppen met monitoren. Om die reden activeert sommige malware zichzelf pas later. Het is daarom van belang dat de behavorial scanningslaag nooit uitgezet wordt.
Goede beveiligingssoftware houdt rekening met genoemde kwetsbaarheden en is dus opgebouwd uit een combinatie van behavorial-technieken en andere bewezen scanmethodes. Met deze mix zijn organisaties en consumenten maximaal beschermd tegen malware.
